0345-78282673
KMGIT GmbH
Security

Backup-Strategie 3-2-1 in der Praxis: Konkrete Umsetzung für eine 8-Plätze-Kanzlei

Wie die 3-2-1-Backup-Regel in einer kleinen Steuerkanzlei konkret aussieht — NAS, Cloud-Backup, Offline-Quartalsbackup, RPO/RTO und Restore-Tests.

KMGIT Redaktion 6 Min. Lesezeit

Die 3-2-1-Regel für Backups ist seit den 1990er Jahren ein etablierter Branchenstandard: drei Kopien der Daten, auf zwei verschiedenen Medien, davon eine offsite an einem anderen Standort. Was sich seit der Ransomware-Welle ab 2017 verändert hat, ist der Schwerpunkt — heute geht es bei der “1” nicht nur um geographische Trennung gegen Brand und Wasserschaden, sondern um logische Trennung gegen Angreifer, die das Produktivnetz übernommen haben.

Wir setzen die 3-2-1-Strategie standardmäßig für unsere Steuerkanzlei-Kunden in Sachsen-Anhalt um. Dieser Beitrag zeigt am Beispiel einer typischen 8-Plätze-Kanzlei, wie das konkret aussieht — mit echten Stückzahlen, Wiederherstellungs-Zielwerten und einem belastbaren Test-Konzept.

Was zur 3-2-1-Regel zählt — und was nicht

Bevor wir konkret werden: Was zählt als “Backup-Kopie”?

  • Eine Snapshot-Kopie auf demselben NAS gilt nicht als zweite Kopie im Sinne der 3-2-1-Regel — sie nutzt das gleiche Medium und ist im Ransomware-Szenario mit verschlüsselt.
  • Eine RAID-Kopie ist kein Backup. RAID schützt gegen Festplatten-Ausfall, nicht gegen Lösch- oder Verschlüsselungsfehler.
  • Eine Cloud-Sync-Lösung (OneDrive, Dropbox-Sync) ist kein Backup. Sync repliziert Löschungen sofort.
  • Eine versionierte Cloud-Kopie mit zeitversetzter, vom Produktivsystem unabhängiger Authentifizierung ist eine Backup-Kopie.

Aus diesen Definitionen heraus entsteht das Mindest-Setup für eine kleinere Kanzlei.

Architektur einer 8-Plätze-Kanzlei

[Arbeitsplätze + Server]

       ▼ (1) Produktiv-Daten


[NAS Synology / QNAP]    ─── (2) Tägliche Backups, 90 Tage Versionierung

       ▼ asynchrone Replikation

[Sekundär-NAS im selben Haus]  ── nicht im Sinne der 3-2-1 ausreichend


[Cloud-Backup verschlüsselt]   ─── (3) Wöchentlich, 12 Monate, DE-RZ


[Quartals-Offline-Backup]      ─── alle 3 Monate, 10 Jahre, sicher gelagert

Die drei Kopien sind hier:

  1. Produktiv-Daten auf Servern und Arbeitsplätzen.
  2. NAS-Backup im selben Haus, getrenntes Speichermedium, getrennte Authentifizierung.
  3. Cloud-Backup in einem deutschen Rechenzentrum, vom Produktiv-AD unabhängige Anmeldung.

Das Quartals-Offline-Backup ist die zusätzliche Versicherung gegen Angriffe, die wochenlang vorbereitet sind und auch das Cloud-Backup mitnehmen würden.

Konkrete Komponenten

Für eine 8-Plätze-Kanzlei reicht in der Regel folgende Ausstattung:

  • NAS: Synology DS923+ oder gleichwertige QNAP-Modelle mit 4 Schächten, RAID-Z1, 4× 8 TB Festplatten — Netto-Kapazität ca. 22 TB. Hardware-Kosten 2026 etwa 1.800–2.500 € inkl. Platten.
  • Backup-Software auf dem NAS: Synology Active Backup for Business oder QNAP Hyper Data Protector — keine Zusatzlizenzen für die Endgeräte.
  • Cloud-Backup: Hetzner Storage Box, IONOS Backup-Cloud, Acronis Cloud Storage in Frankfurt oder ähnliche Anbieter mit Standort in Deutschland. Kosten 2026 etwa 6–10 € pro TB und Monat.
  • Offline-Quartalsbackup: 2× externe USB-Platten 8 TB, im Wechsel (eine außer Haus aufbewahrt, eine im Tresor in der Kanzlei).

Die Gesamtinvestition Hardware liegt bei etwa 2.500 €, die laufenden Kosten Cloud bei 80–150 € monatlich für eine typische Datenmenge von 5–10 TB.

RPO und RTO definieren

Vor der Implementierung sollte die Kanzleileitung zwei Werte verbindlich festlegen:

  • Recovery Point Objective (RPO) — wie viel Datenverlust ist akzeptabel? Bei DATEV-Bestandsdaten typischerweise maximal 4 Stunden. Das bedeutet: Backup mindestens alle 4 Stunden.
  • Recovery Time Objective (RTO) — wie lange darf eine Wiederherstellung dauern? Für DATEV-Arbeitsplätze typischerweise maximal 8 Stunden. Das bedeutet: ein Restore-Verfahren muss innerhalb eines Arbeitstages durchführbar sein.

Diese Werte sind keine technischen Spielereien, sondern bilden die Grundlage für jede Versicherungsdeckung und für die GoBD-konforme Dokumentation der Verfahrensanweisungen. Mehr zur GoBD in unserem Beitrag zur GoBD-konformen Archivierung.

Air-Gap und Immutability — die “1” im Detail

Die offsite-Kopie ist der kritische Punkt im Ransomware-Schutz. Wir konfigurieren grundsätzlich:

  • Separate Authentifizierung: Der Cloud-Backup-Account ist NICHT Teil des Produktiv-AD. Selbst ein erfolgreicher Domain-Admin-Angriff erreicht das Backup nicht.
  • MFA mit Hardware-Token für den Backup-Account, idealerweise FIDO2.
  • Immutable Snapshots: Das Cloud-Backup wird so konfiguriert, dass Snapshots für eine definierte Zeit (typischerweise 30 Tage) NICHT gelöscht oder überschrieben werden können — auch nicht vom Account-Owner.
  • Reine “Push”-Replikation: Das Cloud-Backup-System hat keinen Zugriff auf das Produktivnetz, nur das Produktiv-NAS schiebt Daten Richtung Cloud. Die andere Richtung ist gesperrt.

Diese Konfiguration ist die wichtigste Investition. Ein Backup, das vom selben Account verwaltet wird wie das Produktivsystem, ist kein Backup im Ransomware-Sinne.

Restore-Test — die monatliche Pflichtübung

Ein Backup, das nicht getestet ist, ist kein Backup. Wir empfehlen ein dreistufiges Test-Regime:

  1. Monatlich — Einzeldatei-Restore: ein zufällig ausgewähltes Mitarbeiter-Dokument von gestern wird aus dem NAS-Backup wiederhergestellt. Dauer: 15 Minuten. Verantwortlich: IT-Beauftragter der Kanzlei.
  2. Quartalsweise — Anwendungs-Restore: eine DATEV-Datenbank oder ein Outlook-Postfach wird in eine Testumgebung wiederhergestellt. Dauer: 1–2 Stunden. Verantwortlich: IT-Dienstleister.
  3. Jährlich — Voll-Restore-Übung: ein kompletter Server wird in eine isolierte Testumgebung wiederhergestellt, inkl. Funktionstest. Dauer: 1 Arbeitstag. Verantwortlich: IT-Dienstleister mit Anwesenheit der Kanzleileitung.

Jeder Test wird protokolliert — wann, was, durch wen, wie lange, ob erfolgreich. Diese Protokolle sind nicht nur GoBD-relevant, sondern werden von Cyber-Versicherungen explizit angefordert.

Häufige Fehler

  • Backup auf demselben Server wie die Produktivdaten. Ein nicht zu fassender Klassiker. RAID ist kein Backup.
  • Backup-Account = Domain-Admin. Im Vorfall genauso kompromittiert wie alles andere.
  • Cloud-Sync wird mit Backup verwechselt. OneDrive-Versionsgeschichte ist KEIN Backup; ein gezielter Angreifer löscht die Versionsgeschichte mit.
  • Restore nie getestet. Sehr häufig. Die ersten 30 Minuten Restore im Ernstfall scheitern dann an einer kleinen Konfigurationssache, die seit Monaten nicht funktionierte.
  • Offsite-Backup über VPN auf “irgendein Server beim Inhaber zu Hause”. Selten verschlüsselt, oft nicht gepatcht, hat Probleme im Ernstfall.
  • Kein Test der Wiederherstellungs-Reihenfolge. Beim Wiederanlauf muss eine bestimmte Reihenfolge eingehalten werden — AD vor Anwendungs-Servern, Datenbank vor Frontend. Wer das nicht dokumentiert, verliert im Ernstfall Tage.

Backup und Datenschutz

Auch das Backup unterliegt der DSGVO. Insbesondere:

  • Löschkonzept: Wie wird sichergestellt, dass nach einer DSGVO-konformen Löschung im Produktivsystem auch das Backup die Daten löscht? Das ist technisch nicht trivial und sollte in der Verfahrensdokumentation beschrieben sein. Mehr dazu im DSGVO-Audit.
  • Auftragsverarbeitungsvertrag (AVV) mit dem Cloud-Backup-Anbieter nach Art. 28 DSGVO.
  • Ende-zu-Ende-Verschlüsselung mit clientseitiger Schlüsselverwaltung. Der Anbieter darf die Daten technisch nicht lesen können.
  • Standort des Anbieters in der EU, vorzugsweise in Deutschland.

Kostenrahmen

Für eine 8-Plätze-Kanzlei mit ca. 5 TB aktiven Daten ergibt sich folgende Kostenstruktur:

PostenEinmaligMonatlich
NAS-Hardware inkl. Platten2.500 €
Sekundär-NAS (optional)1.500 €
Cloud-Backup-Speicher (5 TB)40–80 €
Backup-Software (Lizenz)20–50 €
Externe USB-Platten Quartalsbackup400 €
Restore-Tests (Dienstleister)100–150 €

Gesamt: einmalig etwa 3.000–4.500 €, laufend 160–280 € monatlich. Bei einem Ransomware-Vorfall ohne funktionierendes Backup liegt der Schaden im sechsstelligen Bereich (Wiederherstellungs-Kosten, Ausfallzeit, ggf. DSGVO-Bußgelder).

Beratung anfragen

Wir konzipieren und betreiben Backup-Infrastruktur für Steuerkanzleien und KMU in Sachsen-Anhalt — von der Hardware-Auswahl über die Cloud-Anbindung bis zum monatlichen Restore-Test als verlässliche Dienstleistung. Sprechen Sie uns an, wenn Sie Ihren bestehenden Backup-Stand bewerten lassen möchten oder eine Neueinrichtung planen. Mehr zu unserer Hosting- und Infrastruktur-Leistung unter Hosting.

#Backup #Disaster Recovery #NAS #RPO/RTO

Weiter lesen

Weiterführende Artikel

Security

DSGVO-Audit in sieben Schritten: Self-Check-Liste für mittelständische Unternehmen

Wie ein DSGVO-Audit im KMU konkret abläuft — Verarbeitungsverzeichnis, TOM, AV-Verträge, Löschkonzept und eine Self-Check-Liste zum Mitnehmen.

Artikel lesen Security

Phishing-Awareness im Mittelstand: Was 2026 wirklich gegen KI-Phishing hilft

KI-Phishing, MFA-Bypass via Reverse-Proxy und OAuth-Phishing — wie ein Mittelständler ein wirksames Awareness-Konzept aufbaut, was nach Klick zu tun ist.

Artikel lesen Security

Ransomware-Schutz für KMU: Anatomie eines Angriffs und drei Linien der Verteidigung

Wie Ransomware-Angriffe auf KMU 2026 ablaufen, welche Eintrittsvektoren wir in der Praxis sehen und welche drei Verteidigungslinien wirklich Schutz bieten.

Artikel lesen

Sie haben Fragen?

Persönliche Beratung statt Hotline-Wartemusik.

Rufen Sie uns an oder schreiben Sie kurz — wir melden uns innerhalb eines Arbeitstages mit einer konkreten Einschätzung.

Seit 2008 im Saalekreis · DATEV-erprobt · §203-AVV-Standard.

Beratung anfragen Antivirenlösungen & Security

Können wir Ihnen helfen?

Der IT-Dienstleister für Steuerberater

Anrufen Kontakt